Zoom konferentsiya platformasidagi zaiflik 4 milliondan ortiq Mac foydalanuvchilarini xavf ostiga qo’ydi.
Xatodan foydalanib, tajovuzkorlar kompyuter kamerasiga kirishlari mumkin.
Xavfsizlik bo‘yicha tadqiqotchi Jonatan Leytschuh Zoom videokonferensaloqa xizmatida tajovuzkorlarga maqsadli tizimda o‘zboshimchalik kodini masofadan turib bajarish imkonini beruvchi jiddiy zaiflikni oshkor qildi. Muammo dasturni avtomatik ravishda faollashtiradigan, ishtirokchilarga brauzerda taklifnomani bosish orqali videokonferentsiyaga qo‘shilish imkonini beruvchi Zoom funksiyasiga tegishli. Ushbu funksiyani yoqish uchun Zoom tizimga veb-serverni (port 19421) o’rnatadi. Ushbu server HTTPS GET so’rovlari orqali buyruqlarni qabul qilib, brauzerda ochilgan har qanday veb-sayt server bilan o’zaro aloqada bo’lishiga imkon beradi. Tizimni buzish uchun tajovuzkor rasmiy Zoom veb-saytida o’z akkauntida taklifnoma havolasini yaratishi, uni uchinchi tomon resursiga (rasm yoki iFrame) joylashtirishi va foydalanuvchini ushbu manbaga tashrif buyurishga ishontirishi kerak. Agar Zoom o’rnatilgan Mac egasi zararli saytga tashrif buyursa, dastur kompyuterda ishga tushishi va veb-kamerani faollashtirishi kerak bo’lib, foydalanuvchi hujumga duchor bo’ladi.
Ta’kidlash joizki, Zoom’ni o‘chirish muammoni hal qilmaydi, chunki veb-server foydalanuvchi ishtirokisiz yoki ruxsatisiz dasturni avtomatik ravishda qayta o‘rnatadi. Kamerani faollashtirishdan tashqari, tajovuzkor mahalliy serverga ko’p sonli takroriy GET so’rovlarini yuborish orqali Mac-ni o’chirish uchun ushbu zaiflikdan foydalanishi mumkin.
Tadqiqotchi platforma ishlab chiqaruvchisini muammo haqida xabardor qildi, biroq 90 kundan keyin Zoom zaiflikni tuzatmadi. Leitschuhning taʼkidlashicha, Zoom oxir-oqibat kamerani faollashtirish funksiyasini oʻchirib, xatoni qisman tuzatgan, biroq tajovuzkorga zararli veb-sayt yordamida foydalanuvchilarni konferentsiyaga majburan ulash imkonini bergan muammo saqlanib qolgan.
Yuqorida tavsiflangan zaiflik macOS uchun Zoom (4.4.4) ning so‘nggi versiyasiga ta’sir qiladi. Yaxshiyamki, foydalanuvchilar videokonferentsiyaga qo‘shilishda kamerani avtomatik ravishda faollashtiradigan Zoom sozlamalaridagi opsiyani o‘chirib qo‘yish orqali muammoni o‘zlari hal qilishlari mumkin.
Zoom – bu bulutga asoslangan mashhur konferentsiya platformasi bo’lib, u sizga videokonferentsiyalar, vebinarlar, onlayn treninglar va virtual uchrashuvlar o’tkazish imkonini beradi.
